Etiket arşivi: üretim

Kritik Altyapı Güvenliği

Türkiye’deki enerji sektörü için alarm verici rapor: Siber saldırılarda artış yaşandı!

Yorum yapın

Türkiye'de enerji sektörüne yönelik siber tehditler arttıTürkiye’deki enerji ve üretim sektöründe faaliyet gösteren firma ve kurumlara yönelik siber saldırıların arttığı belirlendi.

Kaspersky ICS araştırmacılarının raporuna göre, Orta Doğu Bölgesi diğer bölgeler ile karşılaştırıldığında, fidye yazılımı saldırılarının öncelikli hedefi olmaya devam ediyor.

Türkiye, 2022 yılı boyunca bina otomasyonu, enerji ve mühendislik dahil olmak üzere birçok sektörde engellenen saldırılarda artışların izlendiği ülkeler arasında yer alıyor.

Kaspersky ICS araştırmacılarına göre, 2022’nin ikinci yarısında Kaspersky güvenlik çözümleri, endüstriyel otomasyon sistemlerinde yılın ilk yarısına göre %6, 2021’in ikinci yarısına göre ise %147 kötü amaçlı yazılımları engelledi. Orta Doğu bölgesi, çıkarılabilir medya (USB flash sürücüler veya sabit sürücüler) aracılığıyla saldırıya uğrayan endüstriyel kontrol sistemlerinin (ICS) oranı konusunda ilk üçte yer alıyor. Afrika ise çıkarılabilir aygıtlar kullanılarak hedef alınan ICS bilgisayarı sayısını göz önüne alındığında bölgesel sıralamada üst sıralarda yer almaya devam ediyor. Türkiye de 2022 yılı boyunca bina otomasyonu, enerji ve mühendislik dahil olmak üzere birçok sektörde engellenen saldırılarda artışların izlendiği ülkeler arasında yerini alıyor.

FİDYE YAZILIM SALDIRILARI TÜRKİYE İÇİN BÜYÜK TEHDİT

Diğer bölgeler ile kıyaslandığında Türkiye’de 2022’nin ikinci yarısında casus yazılımların engellendiği ICS bilgisayarlarının oranı %12,4 ile yüksek oranda gerçekleşti. Türkiye’deki ICS’lerde engellenen diğer kötü amaçlı yazılım kategorilerine bakıldığında, kötü amaçlı komut dosyaları ve reddedilen internet kaynakları %19,7 ve %13,0 oranlarıyla listenin başında yer alıyor.

Kötü amaçlı komut dosyaları ve kimlik avı sayfaları (JavaScript ve HTML) hem çevrimiçi hem de e-posta yoluyla dağıtılıyor. Engellenen internet kaynaklarının önemli bir kısmı kötü amaçlı komut dosyaları göndermek ve kimlik avı sayfalarına yönlendirmek için kullanılıyor.

Colonial Pipeline saldırısı hakkında bilmeniz gereken 5 şey

Türkiye’deki ICS bilgisayarlarında engellenen diğer nesne kategorileri arasında kötü amaçlı belgeler (%6,6) ve solucanlar da (%4,7) oranında yer alıyor. Türkiye aynı zamanda, fidye yazılımı saldırılarından en çok etkilenen bölge olmaya da devam ediyor.

Engellenen saldırı sayısı ile ilgili durum farklı sektörler arasında değişiklik gösteriyor. Türkiye’de 2022’nin ikinci yarısında bina otomasyonu (%41,9 saldırı, 2022’nin ilk yarısına kıyasla +2,1 p.), enerji (%43,2, +1,8 p.), mühendislik (%43,5, +3,6) ve üretim (%36,8, +1,4 p.) dahil olmak üzere çeşitli sektörlerdeki saldırılarda artış gözleniyor.

ABD, Sektörel, Siber Güvenlik

Pentagon satın alımlarda siber güvenliğe dikkat etmeli

Yorum yapın

Eğer önümüzdeki beş sene içinde Pentagon’u bekleyen en büyük sorunun ne olacağı sorusu ile muhatap kalsaydınız, muhtamelen siber güvenlik, şirket satın alımları ve savaş sistemlerinin ekonomisi aklınıza gelmezdi. Ancak bu üçlünün kesişiminde mühim bir zaafiyet yatıyor.

Satın alımlar ve paydaşlar meselesi, ve tabi siber güvenlik, bir çok insanın gözlerinin bulanmasına neden olabilir. Ancak terimler sizi aldatmasın. Bu, ilgi, ve dahası, eylemlilik gerektiren bir konu.

Her ne kadar şeytan ayrıntılarda gizli, ve ayrıntılar da genellikle karmaşık olsa da, meselenin özü basit: Silah platform ve sistemlerinin güvenliğini sağlayamazsak kontrolleri ele geçirilebilir.

Siber güvenliği sistem mimarisinin bir parçası yapmazsak, düşmalarımıza kendi elimizle bir avantaj vermiş oluruz.

Ulus devletlerden, teröristlere ve suçlulara, bize zarar vermek isteyen aktörlerin listesi uzayıp gidiyor. ABD sistemlerini ele geçirmek için bu aktörlerin ellerindeki kaynaklar arasında tedarik zinciri ve üretimi kullanmak da yer alıyor.

Düşmanlarımızın motivasyonu uçak ve uydularımızın tasarımlarını ele geçirerek bunlara karşı etkili siber saldırı strtejileri geliştirmek.

Bu onlar için de mantıklı. Ekonomik casusluk yolu ile ABD silahlarının tasarılarını ele geçirmek, zayıflıkları keşfetmek ve bu zayıflıkları olağan yollardan faydalanma şansı sağlıyor. Bu da düşmanlarımıza para ve emek tasarrufu yapıp, bunları kendi silahlarını geliştirmede harcama imkanı sunarak Amerikan ekonomisine zarar veriyor.

Savunma Bakanlığı, bilgisayar ağlarının korunması konusunda büyük bir uzmanlık birikimi edindi. Şimdi de savaş sistemlerinin korunması konusunda birikim edinmeli.

 

Savunma Bakanlığı tedarik zincirinin güvenliğini sağlıyor

 

Yoğun yazılım içeren ağ sistemleri için yüzlerce tedarikçiye bağlı olduğumuz ortada. Ancak ABD güvenlik sistemlerine güvenebilmemiz çok önemli. Bunun için de üretim ve tedarik zincirlerinden kaynaklanabilecek, sistemlerin uzaktan kontrol edilebilmesi potansiyelini en aza indirmemiz gerekiyor.

Bu amaca ulaşmak için çeşitli bakanlıkların direktifleri var.

Savunma Bakanlığı’nın Güvenilir Sistemler ve Ağlar Stratejisi alınan elektronik parçaların siber güvenliği ile ilgili olarak direktifler sunuyor. Direktifler, zaafiyet analizi, risk yönetimi sürecini bilgilendirmek için istihbarat sunulması ve güvenli tasarımlar gibi konuları içeriyor. Yakın zamanda Federal Savunma Satınalımlarının Denetimi ve Tamamlanması adıyla atılan adımlar sahte elektronik parçaların belirlenmesi konusunda doğru yönde gelişmeleri teşvik etti.

Ancak atılan adımların sonuçları uygulama aşamasında belli olacak. Sistemlerimizin mimarisi saldırıları belirlemek ve engellemek için bir bütün olarak ele alınmalı.

 

Savunma Bakanlığı’nın atması gereken 3 adım

 

Bu tür siber güvenlik sorunlarına göğüs gerebilmek için, şirket satınalma camiasında özellikle endistüri ile ortaklıklar kurup kritik parçaların güvenliğini inşa etmek gerekli. Basit bir çözüm olmasa da bu üç adım ilerleme sağlamak için önemli:

Eğitim: İşyeri eğitimleri ile konunun aciliyeti hakkında farkındalık sağlanmalı. Üniversitelere ulaşılmalı ve gelecek için sağlam bir temel atmak için güvenli mimari ve güvenli kodlama gibi konulara ağırlık verilmeli.

Yaymak: Sağlam bir siber güvenlik kültürü inşa etmek için, sürekli bir liderlik sağlanmalı.

Mühendislik: Güvenlik gereksinimlerinin analizi ve bu gereksinimlerin karşılanması tasarım sürecinin merkezi bir parçası olmalı. Mesela, ihlal belirleme sistemleri, sistemin ön kısmına entegre edilmeli. Dahası, daha genel anlamda mühendislik yaratıcılık ve tarasım olarak düşünülmeli, ve güvenlik sonradan eklenen bir düşünce değil, ana fikir olmalı.

Siber bir olayın yaşanmasıyle ilgili ancak ‘’ne zaman’’ sorusunu sorabiliriz, ‘’olacak mı’’ sorusunu değil. Bu nedenle en ihtiyatlı yaklaşım direnç ve saldırı anında işlevselliğin sağlanmasını odak almalı.

Bu bir parça da bizim riskleri daha iyi yönetebilmek için tehditlere ilişkin anlayışımızı geliştirmemiz gerektiği anlamına geliyor. Savunma Bakanlığı siber güvenlik verimliliği için, kritik silah ve güvenlik sistemlerini gözden geçirmeli.

 

Güvenlik ve kapasite tercihlerinin bedelleri analiz edilmeli

 

Savunma Bakanlığı’nın atabileceği bir diğer değerli adım, güvenlik ve kapasiteye ilişkin tercihlerin ne tür bedelleri olduğunun analiz edilmesi. Bu güvenlik ve kapasite arasında ne tür bir denge gerektiğini belirlemek için Savunma Bilim Kurulu tarafından tasarlanıp yürütülebilir.

Eğer doğru yapılırsa, böyle bir analiz siber güvenlik politikalarının şirket satınalma süreçlerine bilimsel bir şekilde dahil edilmesini sağlar.

Ulusal Standartlar ve Teknoloji Enstitüsü’nün siber güvenlik çerçevesinin kabul edilmesi, satın alma çevrelerine güvenlik kontrollerinin öneminin belirtilmesinde yardımcı olabilir.

Ancak, eğitim ve kültür değişimi zaman alır. Yeterince emek ile, güvenlikli teknolojilerin üretilmesi ve bu teknolojilerin kullanılması, ve dahası, risk temelli siber güvenlik anlayışının yaygınlaşması, ‘’havalı’’ bir davranış olarak kabul görebilir.

Bu aşamaya ne kadar hızlı erişirsek, ülkemiz için o kadar iyi olacaktır.

 

 

 

* Bu yazının orjinali www.nextgov.com adlı site için Michael Papay , Frank J. Cilluffo ve Sharon Cardash tarafından kaleme alınmıştır.